Надежная аутентификация клиентов – важнейший компонент безопасности и соответствия нормативным требованиям для финансовых учреждений, особенно в сфере онлайн-банкинга. Хотя многие банки используют аппаратные устройства аутентификации для проверки подлинности клиентов, некоторые перешли на аутентификацию только с помощью мобильных устройств. Поскольку все больше людей используют мобильные приложения для аутентификации, часто возникает вопрос о том, должны ли банки использовать мобильную или аппаратную аутентификацию.
В этой статье специалисты OneSpan объясняют, почему аппаратные устройства аутентификации должны оставаться важным компонентом безопасности приложений для онлайн-банкинга, и дадют рекомендации по выбору лучших из них. В конце концов, эти устройства защищают организации от развивающихся угроз кибербезопасности и укрепляют соответствие новым нормативным инициативам.
Подхода к аутентификации клиентов только с помощью мобильных устройств будет недостаточно для соответствия требованиям ЕС
В июне 2023 года Европейская комиссия опубликовала проект предложений по Директиве о платежных услугах и услугах электронных денег («PSD3») и Регламенту о платежных услугах («PSR»), которые станут преемниками пересмотренной Директивы о платежных услугах («PSD2») и пересмотренной Директивы об электронных деньгах («EMD2»). Статья 88 предложения PSR предусматривает, что финансовые учреждения не должны использовать единый механизм строгой аутентификации клиентов (SCA), например, механизм, основанный на смартфонах, а должны поддерживать различные механизмы аутентификации. Эти требования означают, что финансовые учреждения не могут применять подход, основанный только на использовании мобильных устройств. Финансовые учреждения должны будут поддерживать другие механизмы аутентификации, такие как аппаратные устройства аутентификации, в дополнение к механизмам SCA на базе смартфонов.
Статья 88 PSR требует, чтобы финансовые учреждения обеспечивали возможность осуществления SCA всеми пользователями, включая людей с ограниченными возможностями, пожилых людей и лиц с низкими цифровыми навыками. Это также касается тех, кто не имеет доступа к цифровым каналам или методам оплаты.
Это означает, что финансовые учреждения должны поддерживать различные формы механизмов строгой аутентификации клиентов, чтобы удовлетворить конкретные ситуации и потребности всех своих пользователей. Например, люди с ограниченным зрением часто предпочитают использовать аппаратное устройство аутентификации с возможностью воспроизведения звука.
Как мошенники атакуют мобильные банковские приложения
Благодаря относительно открытому характеру мобильных операционных систем (например, Android, iOS), мобильные банковские приложения в обозримом будущем останутся популярной мишенью для мошенников. Мошенники могут использовать широкий спектр методов для кражи учетных данных или инициирования мошеннических финансовых операций, таких как:
- Банковские трояны – это специализированные вредоносные программы, созданные с целью кражи учетных данных и финансовой информации из мобильных банковских приложений. Эти трояны могут получить доступ к мобильным банковским приложениям различными способами, например, при загрузке приложений. Попав в приложение, они незаметно работают в фоновом режиме, ставя под угрозу безопасность приложения.
- Поддельные банковские приложения – это вредоносные приложения, которые имитируют законные приложения для мобильных банков, чтобы обманом заставить ничего не подозревающих пользователей разгласить свои учетные данные и конфиденциальную финансовую информацию. Такие поддельные банковские приложения обычно распространяются через неофициальные магазины приложений («боковая загрузка») или фишинговые веб-сайты.
- Clickjacking – подразумевает наложение обманных ссылок поверх легитимных элементов, например кнопок, в пользовательском интерфейсе приложения. Это позволяет злоумышленнику совершать клики в приложении от имени реального пользователя.
- Вредоносные программы-кейлоггеры – перехватывают нажатия клавиш и похищают конфиденциальные данные, включая учетные данные для входа в систему.
Организация UK Finance публикует информацию о потерях от мошенничества с мобильным банкингом в своем ежегодном отчете о мошенничестве. Согласно последнему отчету, в 2024 году мошенничество с мобильным банкингом увеличилось на 62% по сравнению с 2023 годом, что привело к убыткам в размере 45,5 млн фунтов стерлингов.
Системные угрозы со стороны государственных органов против мобильных банковских приложений
Барометры системных рисков, такие как Депозитарной трастовой и клиринговой компании США (DTCC) и Банка Англии, указывают на то, что киберриски стали одной из главных проблем экономической стабильности, особенно в сфере финансовых услуг. Это является следствием успешных кибератак, которые могут привести к серьезным сбоям в работе и крупным убыткам для компаний-целей.
Особый вид киберриска для индустрии финансовых услуг заключается в том, что граждане и корпорации определенной страны не могут получить доступ к своим банковским счетам в Интернете. Такой риск снижает доверие к банковской системе страны и может помешать людям и корпорациям использовать свои деньги, что, возможно, замедлит экономику страны. Например, во время DDoS-атаки российских хакеров на чешские банки и чешскую фондовую биржу в августе 2023 года хакеры закрыли доступ к онлайн-банкингу для клиентов банков и потребовали от учреждений прекратить поддержку Украины.
Механизмы аутентификации на базе мобильных устройств, как правило, более чувствительны к системным угрозам, чем аппаратные устройства аутентификации, поскольку имеют дополнительную зависимость от сотовой сети и операционных систем (например, Android, iOS) мобильных устройств. Например, глушение мобильной связи в людном месте (например, в оживленном центре города) может временно нарушить работу банковских и других сервисов для большого количества людей.
Помехи могут создаваться путем посылки радиосигнала на той же частоте, что и сеть мобильного телефона, что блокирует связь между телефонами и базовой станцией. В качестве другого примера можно привести сотрудничество с производителями мобильных устройств и операционных систем или принуждение их к внесению уязвимостей, которые впоследствии могут быть использованы для нарушения доступа к мобильным банковским приложениям.
Преимущества аппаратной аутентификации
Угрозы со стороны мошенников в отношении мобильных банковских приложений, а также системные угрозы со стороны национальных государств в отношении мобильных устройств подчеркивают важность интеграции аппаратной аутентификации в систему безопасности онлайн-банкинга. Аппаратные устройства аутентификации не зависят от мобильных устройств и мобильных сетей и поэтому не подвержены атакам, которым подвержены мобильные банковские приложения.
Чтобы обеспечить безопасность онлайн-банкинга в будущем, банкам следует искать решения для аутентификации, обладающие следующими характеристиками:
- Устойчивость к фишингу. Это гарантирует, что коды аутентификации, которые генерируются устройствами аутентификации, бесполезны для мошенников. Любые коды аутентификации, украденные с помощью фишинга, вредоносных программ или других атак, не могут быть использованы мошенниками для выдачи себя за настоящего пользователя или инициирования мошеннической финансовой операции. Устойчивость к фишингу обычно достигается за счет использования протоколов аутентификации, созданных FIDO Alliance.
- Что видишь, то и подписываешь (WYSIWYS). Функция «что видишь, то и подписываешь» гарантирует, что люди, использующие решения для аутентификации, могут просматривать детали запросов на вход в систему или финансовых операций на доверенном дисплее аппаратного устройства аутентификации. Пользователь может быть уверен, что информация, отображаемая устройством, корректна и не была изменена вредоносным ПО или другими агентами угроз.
- Квантовая стойкость. Появление квантовых компьютеров окажет значительное влияние на существующие криптографические алгоритмы и соответствующие размеры ключей, которые лежат в основе технологии аутентификации, используемой в приложениях онлайн-банкинга. В долгосрочной перспективе аппаратные устройства аутентификации должны использовать криптографические алгоритмы, устойчивые к атакам как классических, так и квантовых компьютеров, сохраняя при этом производительность и удобство использования. Стандарты аутентификации, такие как стандарты FIDO Alliance, должны быть скорректированы с учетом использования постквантовой криптографии.
- Не занимает много места. Устройства аутентификации должны функционировать без необходимости установки или настройки программных приложений на своих устройствах.
Обеспечьте перспективную надежную аутентификацию клиентов за счет включения аппаратных устройств аутентификации в стратегию безопасности и соответствия нормативным требованиям
Угрозы безопасности и изменения в законодательстве в финансовом секторе постоянно меняются. В результате трудно поддерживать подход к аутентификации клиентов, ориентированный только на мобильные устройства, учитывая не только предстоящие нормативные требования Европейского регламента платежных услуг (PSR), но и динамичный ландшафт угроз, связанных с мобильными устройствами и мобильными банковскими приложениями.
Источник: Why hardware devices should be a key ingredient of banks’ strong customer authentication strategy
